Subject Alternative Name (SAN) --- OID: 2.5.29.17
Subject Alternative Name(主题备用名称):用于指定证书持有者的其他名称或标识。SAN 允许在同一证书中包含多个域名或 IP 地址,提供更大的灵活性和兼容性。它是现代 SSL/TLS 证书的重要组成部分,广泛用于支持多域名和子域名的安全连接。
Issuer Alternative Name (IAN) --- OID: 2.5.29.18
Issuer Alternative Name(颁发者备用名称):指定证书颁发者的备用名称。与 Subject Alternative Name(SAN)类似,但用于标识颁发机构而不是使用者。
CRL Distribution Points (CDP) --- OID: 2.5.29.31
CRL Distribution Points(证书吊销列表分发点):指定证书吊销列表(CRL)的分发点。 (1) URI:指定 CRL 的通用资源标识符,可以是 HTTP、LDAP、FTP 等协议。例如,URI:http://crl.example.com/crl.pem。 (2) 目录名(Directory Name):用于指向某个目录服务中的 CRL 信息,这通常是在 LDAP 环境下使用。例如,Directory Name:cn=CRL,dc=example,dc=com。 (3) 常规名称(General Name):可以包含多个形式的名称,包括 DNS 名称、URI 等,通常它会以 URI 形式被广泛使用,因为这种方式最易于被大多数应用程序访问。
Authority Information Access (AIA) --- OID: 1.3.6.1.5.5.7.1.1
Authority Information Access(颁发机构信息访问):用于提供有关证书颁发机构(CA)及其服务的信息。AIA 扩展通常用于指定用户如何获取颁发者的证书以及提供在线证书状态协议(OCSP)的应答者地址。 (1) CA Issuers:指定获知颁发机构的证书位置,让用户可以下载证书链。如果用户需要更高一级的证书(例如中级 CA 或根 CA),通常通过在此处提供 URL 链接。格式一般为 URI:http://example.com/ca-cert.pem。 (2) OCSP:提供在线证书状态协议(OCSP)应答者的 URL,用于实时检查证书的状态。格式为 URI:http://ocsp.example.com。
Basic Constraints (BC) --- OID: 2.5.29.19
Authority Information Access(颁发机构信息访问):用于指示该证书是否可以用作证书颁发机构(CA)证书。它限制证书在信任链中的角色和使用情况。 (1) CA:指定证书是否为 CA 证书。这个字段是一个布尔值: 1)TRUE:表示此证书是一个 CA 证书,可以用于签发子证书。 2)FALSE:表示此证书是一个终端用户证书,不能用于签发其他证书。 (2) 路径长度限制(Path Length Constraint):指定从该 CA 证书开始,在信任链中可以出现的下一级 CA 证书的最大数量。这个值只在 CA 为 TRUE 时有意义。 1)数字值:限制可以有多少级子 CA。比如,设置为 0 表示这个 CA 只能直接颁发终端用户证书,而不能有子 CA。 2)不设置:如果不设置路径长度限制,则没有级数限制。
Certificate Policies (CP) --- OID: 2.5.29.32
Certificate Policies(证书策略):用来描述证书在特定应用中遵循的策略或规则。这个扩展对于组织来说很重要,因为它规定了证书的使用条件、责任、以及依赖双方的义务等,以明确定义证书的信任级别和使用范围。 (1) 策略对象标识符 (OID):每个证书策略都由一个唯一的对象标识符(OID)标识。例如,一个银行可能有一个特定的 OID 来标识只在金融交易中使用的证书策略。 (2) 路径长度限制(Path Length Constraint):除了 OID,有时还提供附加信息,例如: 1)CPS (Certification Practice Statement) URI:链接到详细描述认证实践声明的 URI,说明 CA 颁发和管理证书的方法和惯例。
2)用户通知(User Notice):向证书的用户提供的一些文本信息或声明。
